ftp-adgang gennem firewall

hov, 445 mangler, og sikker også flere, det er et ex bare :-)

jeg har lige logget af og på 5 gange på en af serverne, og kan se at den connecter til porte i omegnen af 33130 her på klienten så kunne jeg jo bare acceptere 33100:33250 men det er irriterende at skulle gøre der for alle de ftpservere jeg bruger ~

lige nu har jeg åbnet for 10000:60000 og det hele virker, måske er det bare vejen frem. andre forslag???

Ftp setter opp forbindelsen og kommuniserer på en ganske komplisert måte. I prinsipp så er vel port 20 og 21 pluss tilfeldige porter i rangen 1024 til 65xx i bruk. Rollefordelingen mellom server og klient, hvem som tar initiativet til å bruke de forskjellige portene over 1024 vil imidlertid kunne variere, allt ettersom server og/eller klient er satt opp til å kjøre i "active eller passive" mode.

Tidligere så fantes det bare en måte å kommunisere ftp på, dette var "active mode", der man var avhengig av at server i en del av sekvensen skulle opptre som "active", dvs sette opp "ny" forbimndelse via ny port "på eget initiativ". Det var mange firewalls og nat forbindelser som ikke taklet dette særlig bra. Det oppstod problemer slik som de du beskriver over.

Det ble så utviklet en alternativ måte eller standard måte å kommunisere ftp på, "passive mode", der prinsippet skulle være at server var "passive" mens "initiativet" til forbindelser for porter over 1024 ble tatt av klienten. Denne måten kjører vanligvis lettere gjennom firewalls og nat forbindelser.

Noen ftp servere støtter bare active mode, noen støtter bare passive mode og mange støtter begge deler. Hvovidt man kjører active eller passive mode vil så avhenge av hvorvidt man stiller inn klienten til å kjøre det ene elelr det annet.

På mange moderen ftp klientprogrammer inklusive MS Explorer så kan man stille inn hvorvidt den skal kjøre i "active" eller "passive mode".

Når det gjelder Linux og Linux routere så mener jeg da at Linux i dag støtter begge disse kommunikasjonsmåtene forutsatt at man har lastet to ekstra kernel moduler som tar seg spesielt av dette pluss at man også må benytte statefull inspection.

Hvis fortsatt problemer med å få dette til å kjøre gjennom Linux NAT router, så legg beskjed.

En link med en del detaljerte forklaringer mht active/passive mode:
http://slacksite.com/other/ftp.html

Det kan være en god ide å forsøke å veksle mellom active og passive mode, på klienten for å se hvordan firewall håndterer dette.

hej langbein, tak for svaret
mit problem er at nogle af dem jeg bruger kun understøtter aktiv mode, og nogle kun passiv, og så netop som du nævner "pluss tilfeldige porter i rangen 1024 til 65xx". så er spørgsmålet om hvad der er den mindst usikre løsning. som nævnt har jeg i øjeblikket vare åbnet fra 10000 og opad, og det virker. er det ikke rigtigt, at der ikke står porte over 10000 og lytter med mindre jeg sætter en counterstrike-server op eller andet. normalt vil der vel ikke være angreb på porte over 10000 fx fra orme på lokalnetværket eller hur??
og at det virker på mine Pcere hvis jeg slår firewall fra på klienten (på XP med SP2-firewall og på linux med iptables). Det er kun opsætningen af klientens egen firewall jeg tænker på her (min router er alm lille æske fra tdc)

Jeg tror 1024 til 65xx er en "teoretisk verdi". Tror at portområdet i forhold til den praktiske virkelighet er mindre enn dette. Når det gjelder muligheten for å kjøre serverfunksjoner over port 10000, så er vel også denne muligheten til stede. "Statefull inspection" pleier å være den standard måte som man kan benytte for å hindre at det blir stående lange ranger med åpne porter. (For den åpner som kjent for returtrafikken, dynamisk og "ved behov".)

jamn jeg takker for svaret - der er ikke andre der har meldt sig, og nu er jeg da kommet et stykke videre
thomas